トラヒック情報収集装置、ネットワーク制御装置およびトラヒック情報収集方法
【課題】多量のトラヒックが流れる高速なネットワークにおいても攻撃トラヒックや過大トラヒックのような不適切なトラフィックを検出可能で、また、該トラヒックの遮断や帯域制御を自動的に行なえるネットワーク制御装置またはシステムにおいて、フロー情報検出・収集部107を搭載したネットワーク制御装置100で利用者毎のネットワークにおけるフロー情報を監視・検出できる装置またはシステムを提供する。
【解決手段】利用者と利用者を特定するパケットの情報(例えばVLAN)とを対応させるコンフィグと、コンフィグをもとにパケットを利用者毎に判別する利用者識別処理部130と、判別処理されたパケットのフロー情報を利用者毎に格納するテーブル122−1〜122−Nを所持したフロー情報検出・収集部によって、ネットワークのフロー情報を利用者毎に監視・検出する。
【解決手段】利用者と利用者を特定するパケットの情報(例えばVLAN)とを対応させるコンフィグと、コンフィグをもとにパケットを利用者毎に判別する利用者識別処理部130と、判別処理されたパケットのフロー情報を利用者毎に格納するテーブル122−1〜122−Nを所持したフロー情報検出・収集部によって、ネットワークのフロー情報を利用者毎に監視・検出する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークで転送されるパケットの統計情報を収集するトラヒック情報収集装置、トラヒック情報収集機能を含むネットワーク制御装置およびトラヒック情報収集方法に関する。
【背景技術】
【0002】
インターネットやLANの利用が普及するとともに、それらトラヒックを中継するネットワークの安定した運用管理の重要性が増している。特にインターネットにおいては不特定多数のユーザが様々なアプリケーションを利用する。そのため、ネットワークの運用者の想定を上回る想定外トラヒックが発生する。ここで、想定外のトラヒックとは、具体的には、特定アプリによる過負荷トラヒック、攻撃およびネットワークワームの流布などの不正行為によるトラヒックである。しかし、大容量・高速のトラヒックの特徴把握をオンライン的に短期間でコストを抑えて行なうことは難しい。想定外のトラヒックをどのように監視・計測するか、そして安定した通信環境の維持・運用のために活用できるかが課題となっていた。
【0003】
このような課題に対処するために、特許文献1は、インターネットのバックボーンネットワークなどの膨大なトラヒックが流れるネットワークにおいて、所定の特徴を持ち、大きな帯域を占有するトラヒックを高速に抽出するためにバスケット解析を応用したトラヒックの解析方法を開示している。ここで、バスケット解析とは、データマイニング手法の一つで、小売店等で一緒に買われることが多い商品の組み合わせを見つけるためのデータ解析である。特許文献1によれば、統計的にトラヒックの特徴情報を抽出する機能についてメモリ等の必要リソースを低減しつつ、パケット処理速度を向上させることができる。
【0004】
また、特許文献2は、抽出したトラヒックの特徴情報から、トラヒックの特性を精度よく判定できる技術を開示する。ここで、トラヒックの特性とは、具体的には、DDoS(Distributed Denial Of Service)攻撃、ネットワークワームの拡散、P2Pファイル交換等である。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−285048号公報
【特許文献2】特開2006−314077号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
一つの物理的なネットワーク内に複数の仮想的な私設網を設定し統合的に運用するVPN(Virtual Private Network)において、私設網毎にトラヒックの特徴情報を安定的に収集したいというニーズがある。
【0007】
しかし、VPN網に特許文献1または特許文献2の技術を適用した場合、私設網毎に収集されるべきトラヒックの特徴情報を安定的に収集できない。これを、簡単に説明する。
まず、前提を説明する。企業ユーザ群Aは、企業ルータAに集約されており、企業ユーザ群Bは、企業ルータBに集約されている。企業ルータAと企業ルータBは、VPN網に接続されている。VPN網のエッジルータにフロー情報検出・収集部が接続されている。エッジルータは、インターネットに接続されている。また、インターネットにWebサーバが接続されている。企業ユーザAとWebサーバとのフロー量を100、企業ユーザBとWebサーバとのフロー量を1とする。
【0008】
これらのフローを特許文献2の技術でフロー情報を収集した場合を、考える。特許文献2の技術では、その第1図の特定トラフィック検出・制御部117に示すようにフロー情報を格納するパケットカウントテーブル119が一つしかない。このため、フロー量の多いフロー情報が優先的にフロー情報テーブルに格納され、フロー量の少ないフロー情報はフロー情報テーブルに格納しきれずに廃棄されてしまう。
【0009】
よって、Webサーバとのフロー量が多い企業ユーザ群Aとフロー量の少ない企業ユーザ群Bとを同一装置でフロー収集した場合、企業ユーザ群Aのフロー情報が企業ユーザ群Bのフロー情報を駆逐してしまう。
【課題を解決するための手段】
【0010】
上記課題を解決するために、本発明は、特許文献2の技術に以下の(1)ないし(4)の機能を追加する。これらにより、フロー統計情報について、利用者毎のフロー監視および異常フローの検出を可能とする。
(1)ネットワークを流れるパケットの識別子から利用者を識別する。
(2)識別子と利用者を対応させるコンフィグ、およびコンフィグを保存する記憶部を備える。
(3)識別子と利用者を対応させるコンフィグから、利用者識別処理を行なう利用者識別処理部を備える。
(4)利用者毎にフロー情報を格納する複数のテーブルを備える。
【0011】
上述した課題は、パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、利用者ごとのフローテーブルを保持する第2の記憶部と、転送されたパケットを保持する第1のバッファと、第1のバッファのパケットの識別子について、第1の記憶部を参照して、利用者識別情報を取得し、パケットとともに第2のバッファに格納する利用者識別処理部と、第2のバッファの利用者識別情報に基づくフローテーブルについて、パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されるトラヒック情報収集装置により、達成できる。
【0012】
また、パケットを送受信するネットワークに接続され、トラヒック情報収集部とパケット転送処理部とから構成されたネットワーク制御装置において、パケット転送処理部は、受信したパケットをトラヒック情報収集部に送信し、トラヒック情報収集部は、パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、利用者ごとのフローテーブルを保持する第2の記憶部と、受信したパケットを保持する第1のバッファと、第1のバッファのパケットの識別子について、第1の記憶部を参照して、利用者識別情報を取得し、パケットとともに第2のバッファに格納する利用者識別処理部と、第2のバッファの利用者識別情報に基づくフローテーブルについて、パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されるネットワーク制御装置により、達成できる。
【0013】
さらに、転送されたパケットを第1のバッファに格納するステップと、パケットの識別子から利用者識別情報を取得するステップと、パケットに利用者識別情報を付加して第2のバッファに格納するステップと、利用者識別情報に基づくフローテーブルのフロー情報を更新するステップと、からなるトラヒック情報収集方法により、達成できる。
【発明の効果】
【0014】
本発明により、パケットの識別子を利用者毎に対応させ、利用者毎にフロー情報を解析するテーブルを保有し、利用者毎にフロー情報の解析処理を実施することにより、フロー量の少ない利用者であっても詳細なフローを検出することができる。
【図面の簡単な説明】
【0015】
【図1】ネットワークの構成を説明するブロック図である。
【図2】フロー情報検出・収集部を搭載したネットワーク制御装置のブロック図である。
【図3】フロー情報検出・収集部に入力されるパケットフォーマットである。
【図4】利用者識別処理を説明するフローチャートである。
【図5】パケットカウントテーブルを説明する図である。
【図6】コンフィグ命令を説明する図である。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、ネットワークの構成を説明する。図1において、ネットワーク1000は、Webサーバ500と、インターネット300と、VPN網200と、ネットワーク制御装置100と、企業ルータ400と、企業ユーザ(端末)群600とから構成される。
【0017】
企業ユーザ群600−Aは、企業ルータ400−Aに集約されている。企業ユーザ群600−Bは、企業ルータ400−Bに集約されている。企業ルータ400−Aと企業ルータ400−Bは、VPN網200に接続されている。VPN網200のインターネット側エッジにネットワーク制御装置100が配置されている。ネットワーク制御装置100は、インターネット300に接続されている。また、インターネット300にWebサーバ500が接続されている。ネットワーク制御装置100は、パケット転送処理部106とフロー情報検出・収集部107とから構成されている。パケット転送処理部106は、企業ユーザ群600からのパケットをWebサーバ500に転送する。パケット転送処理部106は、また、Webサーバ500からのパケットを企業ユーザ群600に転送する。フロー情報検出・収集部107は、パケット転送処理部106が転送するパケットを監視する。
ここで、企業ユーザ群600−AとWebサーバ500とのフロー量を100、企業ユーザ群600−BとWebサーバ500とのフロー量を1とする。
【0018】
図2を参照して、フロー情報検出・収集部107を搭載したネットワーク制御装置100の構成を説明する。図2において、ネットワーク制御装置100は、フロー情報検出・収集部107と、パケット転送処理部106と、接続インタフェース108とから構成されている。パケット転送処理部106は、ネットワーク800からのパケットを他のネットワーク800に転送する。フロー情報検出・収集部107は、パケット転送処理部106が転送するパケットを監視する。接続インタフェース108は、フロー情報検出・収集部107とパケット転送処理部106とを接続する。
【0019】
ユーザインタフェース700は、フロー情報検出・収集部107とパケット転送処理部106とに接続する。入出力装置750は、フロー情報検出・収集部107に接続する。ユーザインタフェース700は、ネットワーク制御装置100のコンフィグ情報を設定する。入出力装置750は、統計情報の出力と、データの絞り込み情報の入力に使用する。
【0020】
パケット転送処理部106は、パケット送受信部111を含む。パケット送受信部111は、3つのネットワーク800を接続する。ネットワーク800は、区別するときネットワーク800−i(i=1〜3)と記載する。
【0021】
フロー情報検出・収集部107は、内部バス102で相互接続されたCPU116と、利用者識別処理部130と、メモリ117と、利用者識別処理部130に接続されたコンフィグ記憶部132とから構成される。利用者識別処理部130は、パケットバッファ131を含む。メモリ117は、トラヒック情報バッファ118と、N式の利用者毎のフローテーブル122を保持する。フローテーブル122は、それぞれ制御ポリシテーブル121と、しきい値テーブル120と、パケットカウントテーブル119とから構成される。フローテーブル122は、区別するときフローテーブル122−j(j=1〜N)と記載する。内部バス102は、ユーザインタフェース700と、接続インタフェース108と、入出力装置750とをも接続する。なお、本明細書で利用者とは、VPNの契約者を意味する。
【0022】
図3を参照して、フロー情報検出・収集部107に入力されるパケットフォーマットを説明する。図3において、入力されるパケット250は、DMAC201と、SMAC202と、VLAN−Tag(Virtual Local Area Network−Tag)203と、Ether Type204と、SRC IP205と、DST IP206と、SRC Port207と、DST Port208と、Protocol209と、Data210と、CRC211とから構成される。
【0023】
DMAC201は、宛先MACアドレスである。SMAC202は、送信元MACアドレスである。VLAN−Tag203は、VLANを特定する。Ether Type204は、Etherの型である。SRC IP205は、送信元IPアドレスである。DST IP206は、宛先IPアドレスである。SRC Port207は、送信元Port番号である。DST Port208は、宛先Port番号である。Protocol209は、YCPのプロトコルである。Data210は、送信データである。CRC211は、エラー検出用のコードである。
【0024】
パケット250は、ネットワーク800−1〜800−3からパケット転送処理部106のパケット送受信部111に入力され、接続インタフェース108を経由し、利用者識別処理部130に転送される。
【0025】
図4を参照して、フロー情報検出・収集部107の利用者識別処理を説明する。図4において、利用者識別処理部130は、コンフィグ記憶部132からVLAN−Tagと利用者の対応付けの設定がされたコンフィグを読み込む(S302)。パケット転送処理部106は、ネットワーク800−1〜800−3から受信したパケットを接続インタフェース108経由で利用者識別処理部130に送信する(S303)。利用者識別処理部130は、パケット転送処理部106からのパケット250をパケットバッファ131に格納する(S304)。
【0026】
利用者識別処理部130は、受信したパケットのVLAN−Tag203をコンフィグにもとづいて利用者との対応付けを行なう(S305)。利用者識別処理部130は、パケットに利用者識別情報を付加し、トラフィック情報バッファ118に送信する(S306)。CPU116は、トラフィック情報バッファ118に受信したパケットの利用者識別情報をもとに利用者毎にフローテーブル122−1〜122−Nのいずれかのフロー情報を更新して(S307)、ステップ304に遷移する。
利用者毎に振り分けられたパケットについて、フロー情報検出・収集部107は、利用者毎のフローテーブル122−1〜122−Nに基づいて、フロー情報の解析を行なう。
【0027】
図5を参照して、パケットカウントテーブルの構成を説明する。ここで、図5(a)は、企業ユーザ群600−Aのパケットカウントテーブル119−A、図5(b)は、企業ユーザ群600−Bのパケットカウントテーブル119−Bである。図5において、パケットカウントテーブル119は、いずれもエントリ番号10と、種類20と、パケット数30とから構成されている。種類20は、さらにVLAN21と、SRCIP22と、値23とから構成されている。
【0028】
エントリ番号10は、パケットカウントテーブル119のエントリ番号である。種類20は、パケットを特定する。パケット数30は、パケットのカウント数である。VLAN21は、VLAN−Tagである。SRCIP22は、送信元のIPアドレスである。値23は、パケットを特定する項目である。
【0029】
図5(a)と図5(b)の対比により、ユーザ群600−Bのパケットカウントが企業ユーザ群600−Aのパケットカウントより、圧倒的に少ないことが分かる。しかし、フロー情報検出・収集部107は、フロー量の多い企業ユーザ群600−Aとフロー量の少ない企業ユーザ群600−Bのネットワークが混在している場合でも、パケットカウントテーブル119−Aと、パケットカウントテーブル119−Bとそれぞれ保有しているため、フロー量の少ない企業ユーザ群600−Bのフロー情報を監視・検出することができる。
【0030】
図6を参照して、コンフィグコマンドを説明するテーブルを説明する。コンフィグコマンドは、ユーザによりユーザインタフェース部700よりコンフィグ記憶部132に入力される。図6において、テーブル50は、コマンド51と、説明52とから構成される。”afm vlan Ta set Na”は、Tag名(Ta)と利用者名(Na)を結び付ける。なお、afmは、aggregated flow miningである。”show afm status vlan Ta”は、ネットワークを使用/非使用、パケットを送信中か否かといったステータスを表示する。”show afm flow entry vlan Ta”は、インターネットに接続された状態でのflowの量、エントリ数、内容を表示する。”show afm statistics vlan Ta”は、累計でどれだけのパケットを送受信しているかとの統計情報を表示する。”clear afm vlan Ta”は、統計情報のクリアである。”afm enable/disable”は、AFM機能の有効/無効である。”afm collector ip address”は、入出力装置750のIPアドレスを設定する。”afm collector port”は、入出力装置750のポート番号を設定する。
【0031】
本実施例によれば、パケットの識別子を利用者毎に対応させ、利用者毎にフロー情報を解析するテーブルを保有し、利用者毎にフロー情報の解析処理を実施することにより、フロー量の少ない利用者であっても詳細なフローを検出することができる。また、コンフィグによりパケットの識別子を利用者毎に対応させることで、ネットワーク構成や状況により自由に設定することができる。
【0032】
なお、この発明は、上述した実施例に限られるものではなく、種々の態様において実施することが可能であり、次のような変形も可能である。
図2ではフロー情報検出・収集部107を搭載したネットワーク制御装置100であるが、フロー情報検出・収集部107がネットワーク制御装置100の外部に特定トラヒック検出・制御装置として接続されていてもよい。
【0033】
利用者識別処理部130は、ASIC(Application Specific Integrate Circuit)またはFPGA(Field Programmable Gate Array)などの専用デバイスで行なってもよいし、CPU(Central Processing Unit)などの汎用デバイスで同様の処理を行なってもよい。
【0034】
利用者の識別方法は、VLAN−Tagに限らずQinQ(IEEE802.1q Tunneling)、EoE(Ethernet(登録商標) Over Ethernet)、MPLS(Multi Protocol Label Switching)などパケットのヘッダ情報や、パケット内のある決められた範囲の情報などでもよい。
コンフィグ記憶部132は、フロー情報検出・収集部107の内部に限らず、データサーバなどの外部装置からコンフィグ情報を取得してもよい。
【符号の説明】
【0035】
100…ネットワーク制御装置、102…内部バス、106…パケット転送処理部、107…フロー情報検出・収集部、108…接続インタフェース、111…パケット送受信部、118…トラフィック情報バッファ、119…パケットカウントテーブル、120…しきい値テーブル、121…制御ポリシテーブル、122…フローテーブル、130…利用者識別処理部、131…パケットバッファ、132…コンフィグ記憶部、200…ISP−VPN、201…DMAC部、202…SMAC部、203…VLAN−Tag部、204…Ether Type部、205…SRC IP部、206…DST IP部、207…SRC Port部、208…DST Port部、209…Protocol部、210…Data部、211…CRC部、250…パケット、300…インターネット、400…企業ルータ、500…Webサーバ、600…企業ユーザ群、700…ユーザインターフェース部、750…入出力装置、1000…ネットワーク。
【技術分野】
【0001】
本発明は、ネットワークで転送されるパケットの統計情報を収集するトラヒック情報収集装置、トラヒック情報収集機能を含むネットワーク制御装置およびトラヒック情報収集方法に関する。
【背景技術】
【0002】
インターネットやLANの利用が普及するとともに、それらトラヒックを中継するネットワークの安定した運用管理の重要性が増している。特にインターネットにおいては不特定多数のユーザが様々なアプリケーションを利用する。そのため、ネットワークの運用者の想定を上回る想定外トラヒックが発生する。ここで、想定外のトラヒックとは、具体的には、特定アプリによる過負荷トラヒック、攻撃およびネットワークワームの流布などの不正行為によるトラヒックである。しかし、大容量・高速のトラヒックの特徴把握をオンライン的に短期間でコストを抑えて行なうことは難しい。想定外のトラヒックをどのように監視・計測するか、そして安定した通信環境の維持・運用のために活用できるかが課題となっていた。
【0003】
このような課題に対処するために、特許文献1は、インターネットのバックボーンネットワークなどの膨大なトラヒックが流れるネットワークにおいて、所定の特徴を持ち、大きな帯域を占有するトラヒックを高速に抽出するためにバスケット解析を応用したトラヒックの解析方法を開示している。ここで、バスケット解析とは、データマイニング手法の一つで、小売店等で一緒に買われることが多い商品の組み合わせを見つけるためのデータ解析である。特許文献1によれば、統計的にトラヒックの特徴情報を抽出する機能についてメモリ等の必要リソースを低減しつつ、パケット処理速度を向上させることができる。
【0004】
また、特許文献2は、抽出したトラヒックの特徴情報から、トラヒックの特性を精度よく判定できる技術を開示する。ここで、トラヒックの特性とは、具体的には、DDoS(Distributed Denial Of Service)攻撃、ネットワークワームの拡散、P2Pファイル交換等である。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2005−285048号公報
【特許文献2】特開2006−314077号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
一つの物理的なネットワーク内に複数の仮想的な私設網を設定し統合的に運用するVPN(Virtual Private Network)において、私設網毎にトラヒックの特徴情報を安定的に収集したいというニーズがある。
【0007】
しかし、VPN網に特許文献1または特許文献2の技術を適用した場合、私設網毎に収集されるべきトラヒックの特徴情報を安定的に収集できない。これを、簡単に説明する。
まず、前提を説明する。企業ユーザ群Aは、企業ルータAに集約されており、企業ユーザ群Bは、企業ルータBに集約されている。企業ルータAと企業ルータBは、VPN網に接続されている。VPN網のエッジルータにフロー情報検出・収集部が接続されている。エッジルータは、インターネットに接続されている。また、インターネットにWebサーバが接続されている。企業ユーザAとWebサーバとのフロー量を100、企業ユーザBとWebサーバとのフロー量を1とする。
【0008】
これらのフローを特許文献2の技術でフロー情報を収集した場合を、考える。特許文献2の技術では、その第1図の特定トラフィック検出・制御部117に示すようにフロー情報を格納するパケットカウントテーブル119が一つしかない。このため、フロー量の多いフロー情報が優先的にフロー情報テーブルに格納され、フロー量の少ないフロー情報はフロー情報テーブルに格納しきれずに廃棄されてしまう。
【0009】
よって、Webサーバとのフロー量が多い企業ユーザ群Aとフロー量の少ない企業ユーザ群Bとを同一装置でフロー収集した場合、企業ユーザ群Aのフロー情報が企業ユーザ群Bのフロー情報を駆逐してしまう。
【課題を解決するための手段】
【0010】
上記課題を解決するために、本発明は、特許文献2の技術に以下の(1)ないし(4)の機能を追加する。これらにより、フロー統計情報について、利用者毎のフロー監視および異常フローの検出を可能とする。
(1)ネットワークを流れるパケットの識別子から利用者を識別する。
(2)識別子と利用者を対応させるコンフィグ、およびコンフィグを保存する記憶部を備える。
(3)識別子と利用者を対応させるコンフィグから、利用者識別処理を行なう利用者識別処理部を備える。
(4)利用者毎にフロー情報を格納する複数のテーブルを備える。
【0011】
上述した課題は、パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、利用者ごとのフローテーブルを保持する第2の記憶部と、転送されたパケットを保持する第1のバッファと、第1のバッファのパケットの識別子について、第1の記憶部を参照して、利用者識別情報を取得し、パケットとともに第2のバッファに格納する利用者識別処理部と、第2のバッファの利用者識別情報に基づくフローテーブルについて、パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されるトラヒック情報収集装置により、達成できる。
【0012】
また、パケットを送受信するネットワークに接続され、トラヒック情報収集部とパケット転送処理部とから構成されたネットワーク制御装置において、パケット転送処理部は、受信したパケットをトラヒック情報収集部に送信し、トラヒック情報収集部は、パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、利用者ごとのフローテーブルを保持する第2の記憶部と、受信したパケットを保持する第1のバッファと、第1のバッファのパケットの識別子について、第1の記憶部を参照して、利用者識別情報を取得し、パケットとともに第2のバッファに格納する利用者識別処理部と、第2のバッファの利用者識別情報に基づくフローテーブルについて、パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されるネットワーク制御装置により、達成できる。
【0013】
さらに、転送されたパケットを第1のバッファに格納するステップと、パケットの識別子から利用者識別情報を取得するステップと、パケットに利用者識別情報を付加して第2のバッファに格納するステップと、利用者識別情報に基づくフローテーブルのフロー情報を更新するステップと、からなるトラヒック情報収集方法により、達成できる。
【発明の効果】
【0014】
本発明により、パケットの識別子を利用者毎に対応させ、利用者毎にフロー情報を解析するテーブルを保有し、利用者毎にフロー情報の解析処理を実施することにより、フロー量の少ない利用者であっても詳細なフローを検出することができる。
【図面の簡単な説明】
【0015】
【図1】ネットワークの構成を説明するブロック図である。
【図2】フロー情報検出・収集部を搭載したネットワーク制御装置のブロック図である。
【図3】フロー情報検出・収集部に入力されるパケットフォーマットである。
【図4】利用者識別処理を説明するフローチャートである。
【図5】パケットカウントテーブルを説明する図である。
【図6】コンフィグ命令を説明する図である。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について、実施例を用い図面を参照しながら詳細に説明する。なお、実質同一部位には同じ参照番号を振り、説明は繰り返さない。
まず、図1を参照して、ネットワークの構成を説明する。図1において、ネットワーク1000は、Webサーバ500と、インターネット300と、VPN網200と、ネットワーク制御装置100と、企業ルータ400と、企業ユーザ(端末)群600とから構成される。
【0017】
企業ユーザ群600−Aは、企業ルータ400−Aに集約されている。企業ユーザ群600−Bは、企業ルータ400−Bに集約されている。企業ルータ400−Aと企業ルータ400−Bは、VPN網200に接続されている。VPN網200のインターネット側エッジにネットワーク制御装置100が配置されている。ネットワーク制御装置100は、インターネット300に接続されている。また、インターネット300にWebサーバ500が接続されている。ネットワーク制御装置100は、パケット転送処理部106とフロー情報検出・収集部107とから構成されている。パケット転送処理部106は、企業ユーザ群600からのパケットをWebサーバ500に転送する。パケット転送処理部106は、また、Webサーバ500からのパケットを企業ユーザ群600に転送する。フロー情報検出・収集部107は、パケット転送処理部106が転送するパケットを監視する。
ここで、企業ユーザ群600−AとWebサーバ500とのフロー量を100、企業ユーザ群600−BとWebサーバ500とのフロー量を1とする。
【0018】
図2を参照して、フロー情報検出・収集部107を搭載したネットワーク制御装置100の構成を説明する。図2において、ネットワーク制御装置100は、フロー情報検出・収集部107と、パケット転送処理部106と、接続インタフェース108とから構成されている。パケット転送処理部106は、ネットワーク800からのパケットを他のネットワーク800に転送する。フロー情報検出・収集部107は、パケット転送処理部106が転送するパケットを監視する。接続インタフェース108は、フロー情報検出・収集部107とパケット転送処理部106とを接続する。
【0019】
ユーザインタフェース700は、フロー情報検出・収集部107とパケット転送処理部106とに接続する。入出力装置750は、フロー情報検出・収集部107に接続する。ユーザインタフェース700は、ネットワーク制御装置100のコンフィグ情報を設定する。入出力装置750は、統計情報の出力と、データの絞り込み情報の入力に使用する。
【0020】
パケット転送処理部106は、パケット送受信部111を含む。パケット送受信部111は、3つのネットワーク800を接続する。ネットワーク800は、区別するときネットワーク800−i(i=1〜3)と記載する。
【0021】
フロー情報検出・収集部107は、内部バス102で相互接続されたCPU116と、利用者識別処理部130と、メモリ117と、利用者識別処理部130に接続されたコンフィグ記憶部132とから構成される。利用者識別処理部130は、パケットバッファ131を含む。メモリ117は、トラヒック情報バッファ118と、N式の利用者毎のフローテーブル122を保持する。フローテーブル122は、それぞれ制御ポリシテーブル121と、しきい値テーブル120と、パケットカウントテーブル119とから構成される。フローテーブル122は、区別するときフローテーブル122−j(j=1〜N)と記載する。内部バス102は、ユーザインタフェース700と、接続インタフェース108と、入出力装置750とをも接続する。なお、本明細書で利用者とは、VPNの契約者を意味する。
【0022】
図3を参照して、フロー情報検出・収集部107に入力されるパケットフォーマットを説明する。図3において、入力されるパケット250は、DMAC201と、SMAC202と、VLAN−Tag(Virtual Local Area Network−Tag)203と、Ether Type204と、SRC IP205と、DST IP206と、SRC Port207と、DST Port208と、Protocol209と、Data210と、CRC211とから構成される。
【0023】
DMAC201は、宛先MACアドレスである。SMAC202は、送信元MACアドレスである。VLAN−Tag203は、VLANを特定する。Ether Type204は、Etherの型である。SRC IP205は、送信元IPアドレスである。DST IP206は、宛先IPアドレスである。SRC Port207は、送信元Port番号である。DST Port208は、宛先Port番号である。Protocol209は、YCPのプロトコルである。Data210は、送信データである。CRC211は、エラー検出用のコードである。
【0024】
パケット250は、ネットワーク800−1〜800−3からパケット転送処理部106のパケット送受信部111に入力され、接続インタフェース108を経由し、利用者識別処理部130に転送される。
【0025】
図4を参照して、フロー情報検出・収集部107の利用者識別処理を説明する。図4において、利用者識別処理部130は、コンフィグ記憶部132からVLAN−Tagと利用者の対応付けの設定がされたコンフィグを読み込む(S302)。パケット転送処理部106は、ネットワーク800−1〜800−3から受信したパケットを接続インタフェース108経由で利用者識別処理部130に送信する(S303)。利用者識別処理部130は、パケット転送処理部106からのパケット250をパケットバッファ131に格納する(S304)。
【0026】
利用者識別処理部130は、受信したパケットのVLAN−Tag203をコンフィグにもとづいて利用者との対応付けを行なう(S305)。利用者識別処理部130は、パケットに利用者識別情報を付加し、トラフィック情報バッファ118に送信する(S306)。CPU116は、トラフィック情報バッファ118に受信したパケットの利用者識別情報をもとに利用者毎にフローテーブル122−1〜122−Nのいずれかのフロー情報を更新して(S307)、ステップ304に遷移する。
利用者毎に振り分けられたパケットについて、フロー情報検出・収集部107は、利用者毎のフローテーブル122−1〜122−Nに基づいて、フロー情報の解析を行なう。
【0027】
図5を参照して、パケットカウントテーブルの構成を説明する。ここで、図5(a)は、企業ユーザ群600−Aのパケットカウントテーブル119−A、図5(b)は、企業ユーザ群600−Bのパケットカウントテーブル119−Bである。図5において、パケットカウントテーブル119は、いずれもエントリ番号10と、種類20と、パケット数30とから構成されている。種類20は、さらにVLAN21と、SRCIP22と、値23とから構成されている。
【0028】
エントリ番号10は、パケットカウントテーブル119のエントリ番号である。種類20は、パケットを特定する。パケット数30は、パケットのカウント数である。VLAN21は、VLAN−Tagである。SRCIP22は、送信元のIPアドレスである。値23は、パケットを特定する項目である。
【0029】
図5(a)と図5(b)の対比により、ユーザ群600−Bのパケットカウントが企業ユーザ群600−Aのパケットカウントより、圧倒的に少ないことが分かる。しかし、フロー情報検出・収集部107は、フロー量の多い企業ユーザ群600−Aとフロー量の少ない企業ユーザ群600−Bのネットワークが混在している場合でも、パケットカウントテーブル119−Aと、パケットカウントテーブル119−Bとそれぞれ保有しているため、フロー量の少ない企業ユーザ群600−Bのフロー情報を監視・検出することができる。
【0030】
図6を参照して、コンフィグコマンドを説明するテーブルを説明する。コンフィグコマンドは、ユーザによりユーザインタフェース部700よりコンフィグ記憶部132に入力される。図6において、テーブル50は、コマンド51と、説明52とから構成される。”afm vlan Ta set Na”は、Tag名(Ta)と利用者名(Na)を結び付ける。なお、afmは、aggregated flow miningである。”show afm status vlan Ta”は、ネットワークを使用/非使用、パケットを送信中か否かといったステータスを表示する。”show afm flow entry vlan Ta”は、インターネットに接続された状態でのflowの量、エントリ数、内容を表示する。”show afm statistics vlan Ta”は、累計でどれだけのパケットを送受信しているかとの統計情報を表示する。”clear afm vlan Ta”は、統計情報のクリアである。”afm enable/disable”は、AFM機能の有効/無効である。”afm collector ip address”は、入出力装置750のIPアドレスを設定する。”afm collector port”は、入出力装置750のポート番号を設定する。
【0031】
本実施例によれば、パケットの識別子を利用者毎に対応させ、利用者毎にフロー情報を解析するテーブルを保有し、利用者毎にフロー情報の解析処理を実施することにより、フロー量の少ない利用者であっても詳細なフローを検出することができる。また、コンフィグによりパケットの識別子を利用者毎に対応させることで、ネットワーク構成や状況により自由に設定することができる。
【0032】
なお、この発明は、上述した実施例に限られるものではなく、種々の態様において実施することが可能であり、次のような変形も可能である。
図2ではフロー情報検出・収集部107を搭載したネットワーク制御装置100であるが、フロー情報検出・収集部107がネットワーク制御装置100の外部に特定トラヒック検出・制御装置として接続されていてもよい。
【0033】
利用者識別処理部130は、ASIC(Application Specific Integrate Circuit)またはFPGA(Field Programmable Gate Array)などの専用デバイスで行なってもよいし、CPU(Central Processing Unit)などの汎用デバイスで同様の処理を行なってもよい。
【0034】
利用者の識別方法は、VLAN−Tagに限らずQinQ(IEEE802.1q Tunneling)、EoE(Ethernet(登録商標) Over Ethernet)、MPLS(Multi Protocol Label Switching)などパケットのヘッダ情報や、パケット内のある決められた範囲の情報などでもよい。
コンフィグ記憶部132は、フロー情報検出・収集部107の内部に限らず、データサーバなどの外部装置からコンフィグ情報を取得してもよい。
【符号の説明】
【0035】
100…ネットワーク制御装置、102…内部バス、106…パケット転送処理部、107…フロー情報検出・収集部、108…接続インタフェース、111…パケット送受信部、118…トラフィック情報バッファ、119…パケットカウントテーブル、120…しきい値テーブル、121…制御ポリシテーブル、122…フローテーブル、130…利用者識別処理部、131…パケットバッファ、132…コンフィグ記憶部、200…ISP−VPN、201…DMAC部、202…SMAC部、203…VLAN−Tag部、204…Ether Type部、205…SRC IP部、206…DST IP部、207…SRC Port部、208…DST Port部、209…Protocol部、210…Data部、211…CRC部、250…パケット、300…インターネット、400…企業ルータ、500…Webサーバ、600…企業ユーザ群、700…ユーザインターフェース部、750…入出力装置、1000…ネットワーク。
【特許請求の範囲】
【請求項1】
パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、
利用者ごとのフローテーブルを保持する第2の記憶部と、
転送されたパケットを保持する第1のバッファと、
前記第1のバッファの前記パケットの識別子について、前記第1の記憶部を参照して、利用者識別情報を取得し、前記パケットとともに第2のバッファに格納する利用者識別処理部と、
前記第2のバッファの前記利用者識別情報に基づくフローテーブルについて、前記パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されることを特徴とするトラヒック情報収集装置。
【請求項2】
請求項1に記載のトラヒック情報収集装置であって、
前記利用者識別処理部は、前記パケットの識別子と前記利用者識別情報との対応関係を前記第1の記憶部から、事前に読み込むことを特徴とするトラヒック情報収集装置。
【請求項3】
請求項1に記載のトラヒック情報収集装置であって、
前記識別子は、前記パケットのヘッダ情報であることを特徴とするトラヒック情報収集装置。
【請求項4】
パケットを送受信するネットワークに接続され、トラヒック情報収集部とパケット転送処理部とから構成されたネットワーク制御装置において、
前記パケット転送処理部は、受信したパケットを前記トラヒック情報収集部に送信し、
前記トラヒック情報収集部は、パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、利用者ごとのフローテーブルを保持する第2の記憶部と、受信した前記パケットを保持する第1のバッファと、前記第1のバッファの前記パケットの識別子について、前記第1の記憶部を参照して、利用者識別情報を取得し、前記パケットとともに第2のバッファに格納する利用者識別処理部と、前記第2のバッファの前記利用者識別情報に基づくフローテーブルについて、前記パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されることを特徴とするネットワーク制御装置。
【請求項5】
転送されたパケットを第1のバッファに格納するステップと、
前記パケットの識別子から利用者識別情報を取得するステップと、
前記パケットに前記利用者識別情報を付加して第2のバッファに格納するステップと、
前記利用者識別情報に基づくフローテーブルのフロー情報を更新するステップと、からなるトラヒック情報収集方法。
【請求項1】
パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、
利用者ごとのフローテーブルを保持する第2の記憶部と、
転送されたパケットを保持する第1のバッファと、
前記第1のバッファの前記パケットの識別子について、前記第1の記憶部を参照して、利用者識別情報を取得し、前記パケットとともに第2のバッファに格納する利用者識別処理部と、
前記第2のバッファの前記利用者識別情報に基づくフローテーブルについて、前記パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されることを特徴とするトラヒック情報収集装置。
【請求項2】
請求項1に記載のトラヒック情報収集装置であって、
前記利用者識別処理部は、前記パケットの識別子と前記利用者識別情報との対応関係を前記第1の記憶部から、事前に読み込むことを特徴とするトラヒック情報収集装置。
【請求項3】
請求項1に記載のトラヒック情報収集装置であって、
前記識別子は、前記パケットのヘッダ情報であることを特徴とするトラヒック情報収集装置。
【請求項4】
パケットを送受信するネットワークに接続され、トラヒック情報収集部とパケット転送処理部とから構成されたネットワーク制御装置において、
前記パケット転送処理部は、受信したパケットを前記トラヒック情報収集部に送信し、
前記トラヒック情報収集部は、パケットの識別子と利用者識別情報とを対応させて保持する第1の記憶部と、利用者ごとのフローテーブルを保持する第2の記憶部と、受信した前記パケットを保持する第1のバッファと、前記第1のバッファの前記パケットの識別子について、前記第1の記憶部を参照して、利用者識別情報を取得し、前記パケットとともに第2のバッファに格納する利用者識別処理部と、前記第2のバッファの前記利用者識別情報に基づくフローテーブルについて、前記パケットにかかるフロー情報を更新するフローテーブル更新部と、から構成されることを特徴とするネットワーク制御装置。
【請求項5】
転送されたパケットを第1のバッファに格納するステップと、
前記パケットの識別子から利用者識別情報を取得するステップと、
前記パケットに前記利用者識別情報を付加して第2のバッファに格納するステップと、
前記利用者識別情報に基づくフローテーブルのフロー情報を更新するステップと、からなるトラヒック情報収集方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−151689(P2012−151689A)
【公開日】平成24年8月9日(2012.8.9)
【国際特許分類】
【出願番号】特願2011−9247(P2011−9247)
【出願日】平成23年1月19日(2011.1.19)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
【公開日】平成24年8月9日(2012.8.9)
【国際特許分類】
【出願日】平成23年1月19日(2011.1.19)
【出願人】(504411166)アラクサラネットワークス株式会社 (315)
【Fターム(参考)】
[ Back to top ]